编者简介:尽管全球危机促使政府和企业更加重视成本控制,同时也解决了大流行的后果,但开源软件(OSS)的采用已变得非常重要。 随着OSS在最终用户级别以及SDLC(软件开发生命周期)阶段的采用,对代码完整性和安全性的需求已变得至关重要。 但是,是否可以快速修补OSS组件? 供应商的版本如下。

Synopsys研究表明开源安全性是首要考虑因素,但修补速度太慢

对1,500名IT专业人员的全球调查发现,全球40%的受访者为解决开源漏洞而中断了交付计划

新加坡,@mcgallen#microwire资讯,9年2020月XNUMX日Synopsys,Inc. (纳斯达克: SNPS)今天发布了该报告, 2020年DevSecOps实践和开源管理。 由产生 新思网络安全研究中心 (CyRC),该报告重点介绍了对1,500名从事网络安全,软件开发,软件工程和Web开发的IT专业人员的调查结果。 该报告探讨了全球组织用于解决开源漏洞管理的策略,以及商业代码中过时或废弃的开源组件日益严重的问题。

开源在当今的软件生态系统中扮演着至关重要的角色。 绝大多数现代代码库都包含开源组件,而开源通常占整个代码的70%或更多。 然而,与开放源使用的增长并行的是不受管理的开放源带来的日益严重的安全风险。 实际上,根据 2020 OSSRA报告Synopsys审核的代码库中,有75%包含具有已知安全漏洞的开源组件。 为了应对这种情况,调查的受访者引用了已知的安全漏洞作为审核新的开源组件时的首要标准。

“很明显,未修补的漏洞是导致开发人员痛苦的主要来源,甚至最终是业务风险。” Synopsys网络安全研究中心首席安全策略师Tim Mackey说。 “《 2020年DevSecOps实践和开源管理》报告强调了组织如何努力有效地跟踪和管理其开源风险。”

Mackey继续说道:“超过一半的人(占51%)说,他们需要两到三个星期才能应用开放源代码补丁。 “这可能与以下事实有关:只有38%的人使用自动软件组成分析(SCA)工具来确定使用了哪些开源组件以及何时发布更新。 其余的组织可能正在使用手动流程来管理开源程序,这些流程可能减慢开发和运营团队的速度,迫使他们在平均每天发布数十个新安全披露的环境中追赶安全。”

“ 2020年DevSecOps实践和开源管理”报告中的其他值得注意的发现包括:

  • DevSecOps在全球范围内发展迅速。 总计63%的受访者表示,他们正在将一些DevSecOps活动纳入其软件开发管道中。
  • 没有普遍采用的应用程序安全测试(AST)工具。 正如对调查问题的回答所表明的那样,不乏应用程序安全性测试工具和技术。 但是,即使采用率最高的AST工具仍然只有不到一半的受访者使用。
  • 媒体在开源风险管理中起着重要作用。 XNUMX%的受访者指出,媒体报道促使他们的组织对开放源代码的使用采取更严格的控制措施。
  • XNUMX%的受访者在他们使用的开源组件时代定义了标准。 开源社区中一个日益严重的问题是项目的可持续性。 2020年 Synopsys研究 研究表明,91年审核的代码库中有2019%包含开源组件,这些组件要么已过期四年以上,要么在过去两年中没有开发活动。 部署过时的代码时,安全风险会增加,包括劫持开源组件的威胁。 这种情况发生在2018年,当时事件流组件被劫持以针对Copay账户中的比特币。

要了解更多信息,请下载 2020年DevSecOps实践和开源管理 报告。

关于Synopsys软件完整性小组

Synopsys软件完整性小组可帮助开发团队构建安全,高质量的软件,在最大程度地提高速度和生产力的同时最大程度地降低风险。 Synopsys是应用程序安全性领域公认的领导者,它提供静态分析,软件组成分析和动态分析解决方案,使团队可以快速查找和修复专有代码,开源组件和应用程序行为中的漏洞和缺陷。 结合行业领先的工具,服务和专业知识,只有Synopsys才能帮助组织在DevSecOps和整个软件开发生命周期中优化安全性和质量。 了解更多 www.synopsys.com/software.

关于Synopsys

Synopsys公司(纳斯达克股票代码:SNPS)是Silicon to Software™的合作伙伴,为创新公司开发我们每天依赖的电子产品和软件应用程序。 作为全球第15大软件公司,Synopsys在电子设计自动化(EDA)和半导体IP领域处于全球领导者的悠久历史,并且在软件安全性和质量解决方案方面的领导地位也在不断提高。 无论您是创建高级半导体的片上系统(SoC)设计人员,还是编写要求最高安全性和质量的应用程序的软件开发人员,Synopsys都能提供交付创新,高质量,安全产品所需的解决方案。 了解更多 www.synopsys.com.

###